跨域-同源策略

跨域

同源策略(Same origin Policy)

瀏覽器出于安全考慮,只允許與本域下的接口交互。不同源的客戶腳本在沒有明確授權(quán)的情況下,不能讀寫對(duì)方的資源

  • 發(fā)送的請(qǐng)求和當(dāng)前所在的頁(yè)面是同一個(gè)域下的話,是可以接受的域名,這是瀏覽器的安全策略

同源指的是什么

  • 同協(xié)議: 如http/https
  • 同域名: http://baidu.com
  • 同端口:80端口

修改host的作用

127.0.0.1 a.com
127.0.0.1 b.com

可以瀏覽器是a.com
端口號(hào)是b.com
這樣雖然域名不相同,但代表的都是同一個(gè)意思

fs.readFile

fs.readFile(path.join(--dirname,pathObj.pathname),function(e,data){
    if(e){      res.writeHead(404,'not found')
    res.end('<h1>404 NOT Found</h1>')
    }else{
        res.end(data)
    }
})

path.join(__dirname,pathObj.pathname)

當(dāng)前文件夾加上pathname的路徑

三種情況

1.請(qǐng)求沒有發(fā)出去,直接被瀏覽器攔截住了
2.請(qǐng)求發(fā)出去了,服務(wù)器沒有響應(yīng)
3.請(qǐng)求發(fā)出去了,服務(wù)器也響應(yīng)了,但瀏覽器收到數(shù)據(jù)之后發(fā)現(xiàn)數(shù)據(jù)不對(duì),然后被攔截掉了

跨域請(qǐng)求,同源策略

是瀏覽器的安全策略,符合第三種情況

跨域機(jī)制

瀏覽器不會(huì)管你是不是接口,只會(huì)關(guān)注你是不是同源策略,你不是同源的話

跨域的幾種方法

JSONP(JSON with padding)

JSONP是通過 script 標(biāo)簽加載數(shù)據(jù)的方式去獲取數(shù)據(jù)當(dāng)做 JS 代碼來執(zhí)行 提前在頁(yè)面上聲明一個(gè)函數(shù),函數(shù)名通過接口傳參的方式傳給后臺(tái),后臺(tái)解析到函數(shù)名后在原始數(shù)據(jù)上「包裹」這個(gè)函數(shù)名,發(fā)送給前端。換句話說,JSONP 需要對(duì)應(yīng)接口的后端的配合才能實(shí)現(xiàn)。

<script src="http://api.jirengu.com/weather.php"></script>

script可以使用任何網(wǎng)站上對(duì)應(yīng)的文件,通過script返回?cái)?shù)據(jù),這個(gè)數(shù)據(jù)會(huì)被瀏覽器發(fā)送請(qǐng)求,這個(gè)數(shù)據(jù)

<script src="http://api.jirengu.com/weather.php?callback=showData"></script>

請(qǐng)求到達(dá)后端的時(shí)候,后端會(huì)去解析這個(gè)參數(shù)獲取到字符串showData

<script>
function showData(ret){
console.log(ret);
}
</script>
<script src="http://api.jirengu.com/weather.php?callback=showData"></script>

CORS

跨資源共享
當(dāng)瀏覽器使用XMLHttpRequest請(qǐng)求時(shí),瀏覽器發(fā)現(xiàn)該請(qǐng)求不符合同源策略,會(huì)給該請(qǐng)求添加一個(gè)請(qǐng)求頭:Origin,后臺(tái)進(jìn)行一系列處理,如果確定接受請(qǐng)求則在返回的結(jié)果當(dāng)中加入一個(gè)響應(yīng)頭:Access-Control-Allow-Origin;瀏覽器判斷相應(yīng)頭中是否包含Origin的值,如果有則瀏覽器會(huì)處理響應(yīng),我們就應(yīng)該可以拿到響應(yīng)數(shù)據(jù),如果不包含瀏覽器則直接駁回,這時(shí)我們無法拿到響應(yīng)數(shù)據(jù)。

不同域下的frame的操作

只有在相同域名下的frame才可以操作frame

iframe

iframe標(biāo)記指定內(nèi)聯(lián)框架,內(nèi)聯(lián)框架用于在當(dāng)前HTML文檔中嵌入另一個(gè)文檔。
可以用不同的域名進(jìn)行解析

什么是同源策略?

瀏覽器出于安全方面的考慮,只允許與本域下的接口交互。不同源的客戶腳本在沒有明確授權(quán)的情況下,不能讀寫對(duì)方的資源

什么是跨域?列舉跨域有幾種實(shí)現(xiàn)形式

跨域,指的是瀏覽器不能執(zhí)行其他網(wǎng)站的腳本。
跨域的幾種實(shí)現(xiàn)方法:

  1. JSONP
  2. CORS
  3. 降域

JSONP 的原理是什么?

通過script標(biāo)簽加載數(shù)據(jù)的方式獲取數(shù)據(jù)當(dāng)作JS代碼來執(zhí)行 提前在頁(yè)面上聲明一個(gè)函數(shù),函數(shù)通過接口傳參的方式傳給后臺(tái),后臺(tái)解析到函數(shù)名在原始數(shù)據(jù)上包裹這個(gè)函數(shù)名,發(fā)送給前端

CORS是什么

ajax跨越請(qǐng)求方式
當(dāng)我們使用XMLHttpRequest時(shí),瀏覽器在發(fā)現(xiàn)該請(qǐng)求不符合同源策略的時(shí)候,會(huì)給該請(qǐng)求加一個(gè)請(qǐng)求頭:Origin,后臺(tái)進(jìn)行一系列的處理,如果確定接受請(qǐng)求則在返回結(jié)果中加入一個(gè)響應(yīng)頭: Access-Control-Allow-Origin;瀏覽器判斷該響應(yīng)頭是否包括Origin的值,如果有則瀏覽器會(huì)處理響應(yīng),我們就可以拿到響應(yīng)的數(shù)據(jù),如果不包含瀏覽器則直接駁回,這時(shí)候我們也無法拿到響應(yīng)數(shù)據(jù)

根據(jù)視頻里的講解演示三種以上跨域的解決方式 ,寫成博客,講解并演示任一種跨域的原理

task32

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容